Настраиваем централизованное управление точками доступа MikroTik с аутентификацией на основе MAC-адресов и посредством RADIUS

Будем считать, что соединение между точками доступа и маршрутизатором реализовано посредством 802.1Q-транков с разрешенными VLAN 100 и VLAN 200, интерфейсу маршрутизатора в VLAN 100 назначен адрес 10.0.0.1, а клиентские устройства, подключающиеся к точке доступа, должны помещаться в VLAN 200. Используемое оборудование - Mikrotik RB2011IL и MikroTik hAP ac2


Настройка транков


Конфигурирование транков будет выполнено на примере точки доступа. Интерфейсы будут настраиваться следующим образом: ether1 - транк-порт с разрешенными VLAN 100 и VLAN 200, а интерфейсы ether2 - ether5 - порты доступа в VLAN 200

  • создаем мост с выключенной фильтрацией VLAN
  • interface bridge add name=bridge vlan-filtering=no
  • добавляем к мосту транк-порт, выключая аппаратную обработку кадров
  • interface bridge port add bridge=bridge interface=ether1 hw=no
  • настраиваем транк-порт
  • interface bridge vlan add bridge=bridge tagged=bridge,ether1 vlan-ids=100
    interface bridge vlan add bridge=bridge tagged=bridge,ether1 vlan-ids=200
  • добавляем к мосту порты доступа, указывая соответствующий VID (аппаратную обработку кадров также отключаем)
  • interface bridge port add bridge=bridge interface=ether2 hw=no pvid=200
    ...
    interface bridge port add bridge=bridge interface=ether5 hw=no pvid=200
  • добавляем к мосту беспроводные интерфейсы
  • interface bridge port add bridge=bridge interface=wlan1
    interface bridge port add bridge=bridge interface=wlan2
  • Замечание: возможно, в данном шаге нет необходимости
  • создаем VLAN-интерфейс
  • interface vlan add name=vlan100 interface=bridge vlan-id=100
  • назначаем VLAN-интерфейсу IP-адрес
  • ip address add interface=vlan100 address=some_ip_address
  • включаем фильтрацию VLAN
  • interface bridge set 0 vlan-filtering=yes

Подключение точек доступа


  • на маршрутизаторе разрешаем входящий трафик CAPsMAN
  • ip firewall filter add chain=input in-interface=vlan100 protocol=udp dst-port=5246,5247 action=accept
  • создаем конфигурацию точек доступа
  • caps-man configuration add name=cfg country=russia ssid=some_ssid datapath.bridge=bridge datapath.vlan-mode=use-tag datapath.vlan-id=200 security.authentication-types=wpa2-psk security.passphrase=some_pass
  • добавляем правило развертывания
  • caps-man provisioning add master-configuration=cfg action=create-dynamic-enabled
  • включаем CAPsMAN
  • caps-man manager set enabled=yes
  • на точках доступа настраиваем подключение к CAPsMAN
  • interface wireless cap set enabled=yes interfaces=wlan1,wlan2 caps-man-addresses=10.0.0.1

Проверка подлинности на основе MAC-адресов


  • на маршрутизаторе разрешаем подключение нужных клиентов
  • caps-man access-list add mac-address=aa:bb:cc:dd:ee:ff action=accept
  • запрещаем подключение всех остальных устройств
  • caps-man access-list add action=reject

Проверка подлинности посредством RADIUS


Предполагается, что в качестве RADIUS-сервера выступает Windows Server 2008 R2 с ролью "Службы политики сети и доступа", на сервере установлен сертификат, выданный центром сертификации предприятия, а IP-адрес сервера - 10.0.0.254

  • на RADIUS-сервере в оснастке "Сервер сетевых политик" добавляем маршрутизатор в качестве RADIUS-клиента
  • добавляем политику запросов на подключение, указывая следующее:
    • обзор - тип сервера доступа к сети - unspecified
    • условия - ограничение по дням недели и времени суток - пн-вс с 00:00 до 24:00
  • создаем сетевую политику
    • обзор → тип сервера доступа к сети → unspecified
    • условия → группы Windows → SomeDomain\Пользователи Wi-Fi
    • условия → тип порта NAS → Wireless IEEE 802.11
    • ограничения → методы проверки подлинности → Microsoft: Защищенные EAP (PEAP) → Защищенный пароль EAP-MSCHAP v2
  • на маршрутизаторе добавляем RADIUS-сервер
  • radius add address=10.0.0.254 secret="some_password"
  • изменяем конфигурацию точек доступа
  • caps-man configuration set 0 security.authentication-types=wpa2-eap security.eap-methods=passthrough
    caps-man configuration unset 0 security.passphrase

Замечание: для предотвращения атак "Man-in-the-middle" необходимо добавить сертификат корневого центра сертификации предприятия в соответствующее хранилище сертификатов клиентов, а в параметрах Wi-Fi подключений включить проверку сертификата сервера аутентификации

Добавить комментарий

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания применять.